2024年8月CCAA國家注冊審核員模擬試題—ISMS信息安全管理體系一、單項選擇題1、密碼技術(shù)不適用于控制下列哪種風險？（）A、數(shù)據(jù)在傳輸中被竊取的風險B、數(shù)據(jù)在傳輸中被篡改的風險C、數(shù)據(jù)在傳輸中被損壞的風險D、數(shù)據(jù)被非授權(quán)訪問的風險2、《中華人民共和國網(wǎng)絡(luò)安全法》中的"三同步"要求，以下說法正確的是（）A、指關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、指所有信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用C、指涉密信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用D、指網(wǎng)信辦指定信息系統(tǒng)建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用3、在ISO組織框架中，負責ISO/IEC27000系列標準編制工作的技術(shù)委員會是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC404、不屬于WEB服務(wù)器的安全措施的是（）A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼5、ISO/IEC27001描述的風險分析過程不包括（）A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后，可能導(dǎo)致的潛在后果D、評估所識別的風險實際發(fā)生的可能性6、不屬于公司信息資產(chǎn)的是（）A、客戶信息B、公司旋轉(zhuǎn)在IDC機房的服務(wù)器C、保潔服務(wù)D、以上都不對7、信息系統(tǒng)的變更管理包括（）A、系統(tǒng)更新的版本控制B、對變更申請的審核過程C、變更實施前的正式批準D、以上全部8、關(guān)于技術(shù)脆弱性管理，以下說法正確的是：（）A、技術(shù)脆弱性應(yīng)單獨管理，與事件管理沒有關(guān)聯(lián)B、了解某技術(shù)脆弱性的公眾范圍越廣，該脆弱性對于組織的風險越小C、針對技術(shù)脆弱性的補丁安裝應(yīng)按變更管理進行控制D、及時安裝針對技術(shù)脆弱性的所有補丁是應(yīng)對脆弱性相關(guān)風險的最佳途徑9、當操作系統(tǒng)發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行（）以確保對組織的運行和安全沒有負面影響A、隔離和迀移B、評審和測試C、評審和隔離D、驗證和確認10、制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）A、業(yè)務(wù)戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部11、為了達到組織災(zāi)難恢復(fù)的要求，備份時間間隔不能超過（）。A、服務(wù)水平目標（SLO)B、恢復(fù)點目標（RPO)C、恢復(fù)時間目標（RTO)D、最長可接受終端時間（MAO)12、—個信息安全事件由單個的或一系列的有害或一系列（）信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運行和威脅信息安全的極大可能性A、已經(jīng)發(fā)生B、可能發(fā)生C、意外D、A+B+C13、過程是指（）A、有輸入和輸出的任意活動B、通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動C、所有業(yè)務(wù)活動的集合D、以上都不對14、關(guān)于備份，以下說法正確的是(）A、備份介質(zhì)中的數(shù)據(jù)應(yīng)定期進行恢復(fù)測試B、如果組織刪減了“信息安全連續(xù)性”要求，同機備份或備份本地存放是可接受的C、發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D、備份信息不是管理體系運行記錄，不須規(guī)定保存期15、下列中哪個活動是組織發(fā)生重大變更后一定要開展的活動？（）A、對組織的信息安全管理體系進行變更B、執(zhí)行信息安全風險評估C、開展內(nèi)部審核D、開展管理評審16、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級，采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務(wù)，那么，需要首要關(guān)注的是（）。A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋Ｃ蹹、數(shù)據(jù)傳輸?shù)谋Ｃ?7、關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法》中的“三同步”要求，以下說法正確的是A、建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)時須保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用B、建設(shè)三級以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用C、建設(shè)機密及以上信息系統(tǒng)須保證安全子系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用D、以上都不對18、一家投資顧問商定期向客戶發(fā)送有關(guān)經(jīng)新聞的電子郵件，如何保證客戶收到資料沒有被修改（）A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的HASH值B、電子郵件發(fā)送前，用投資顧何商的公鑰加密郵件的HASH值C、電子郵件發(fā)送前，用投資項問商的私鑰數(shù)字簽名郵件D、電子郵件發(fā)送前，用投資顧向商的私鑰加密郵件19、虛擬專用網(wǎng)(VPN)的數(shù)據(jù)保密性，是通過什么實現(xiàn)的?（）A、安全接口層(sSL,SecureSocketsLayer〉B、風險隧道技術(shù)(Tunnelling)C、數(shù)字簽名D、風險釣魚20、關(guān)于《中華人民共和國保密法》，以下說法正確的是()A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護?21、訪問控制是指確定（）以及實施訪問權(quán)限的過程A、用戶權(quán)限B、可給予哪些主體訪問權(quán)利C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵22、不屬于常見的危險密碼是（）A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位的綜合型密碼23、關(guān)于《中華人民共和國保密法》，以下說法正確的是:（）A、該法的目的是為了保守國家秘密而定B、該法的執(zhí)行可替代以ISO/IEC27001為依據(jù)的信息安全管理體系C、該法適用于所有組織對其敏感信息的保護D、國家秘密分為秘密、機密、絕密三級，由組織自主定級、自主保護24、(）是確保信息沒有非授權(quán)泄密，即信息不被未授權(quán)的個人、實現(xiàn)或過程，不為其所用。A、搞抵賴性B、完整性C、機密性D、可用性25、關(guān)于投訴處理過程的設(shè)計，以下說法正確的是：（）A、投訴處理過程應(yīng)易于所有投訴者使用B、投訴處理過程應(yīng)易于所有投訴響應(yīng)者使用C、投訴處理過程應(yīng)易于所有投訴處理者使用D、投訴處理過程應(yīng)易于為投訴處理付費的投訴者使用26、《信息技術(shù)安全技術(shù)信息安全治理》對應(yīng)的國際標準號為（）A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC2701427、公司A在內(nèi)審時發(fā)現(xiàn)部分員工計算機開機密碼少于6位，公司文件規(guī)定員工計算機密碼必須6位及以上，那么中哪一項不是針對該問題的糾正措施？()A、要求員工立即改正B、對員工進行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C、通過域控進行強制管理D、對所有員工進行意識教育28、設(shè)備維護維修時，應(yīng)考慮的安全措施包括：（）A、維護維修前，按規(guī)定程序處理或清除其中的信息B、維護維修后，檢查是否有未授權(quán)的新增功能C、敏感部件進行物理銷毀而不予送修D(zhuǎn)、以上全部29、依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，以下說法不正確的是（）A、以電子或其它方式記錄的能夠單獨或與其他信息結(jié)合識別自然人的各種信息屬于個人信息B、自然人的身份證號碼、電話號碼屬于個人信息C、自然人的姓名、住址不屬于個人信息D、自然人的出生日期屬于個人信息30、下面哪一種功能不是防火墻的主要功能?A、協(xié)議過濾B、應(yīng)用網(wǎng)關(guān)C、擴展的日志記錄能力D、包交換31、可用性是指（）A、根據(jù)授權(quán)實體的要求可訪問和利用的特性B、信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性C、保護資產(chǎn)的準確和完整的特性D、反映事物真實情況的程度32、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》現(xiàn)行有效的版本是哪年發(fā)布的？()A、2019B、2017C、2016D、202133、依據(jù)GB/T22080-2016/IS(VIEC27001:2013標準，以下說法正確的是（）A、對于進入組織的設(shè)備和資產(chǎn)須驗證其是否符合安全策略，對于離開組織的設(shè)備設(shè)施則不須驗證B、對于離開組織的設(shè)備和資產(chǎn)須驗證其合格證，對于進入組織的設(shè)備設(shè)施則不必驗證C、對于離開組織的設(shè)備和資產(chǎn)須驗證相關(guān)授權(quán)信息D、對于進入和離開組織的設(shè)備和資產(chǎn)，驗證攜帶者身份信息，可替代對設(shè)備設(shè)施的驗證34、審核抽樣時，可以不考慮的因素是(）A、場所差異B、管理評審的結(jié)果C、最高管理者D、內(nèi)審的結(jié)果35、設(shè)置防火墻策略是為了(）A、進行訪問控制B、進行病毒防范C、進行郵件內(nèi)容過濾D、進行流量控制36、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當按照規(guī)定與提供者簽訂（）協(xié)議和保密義務(wù)與責任。A、安全保密B、安全保護C、安全保障D、安全責任37、關(guān)于GB/T22081-2016/ISO/IEC27002:2013,以下說法錯誤的是（）A、該標準是指南類標準B、該標準中給出了IS0/IEC27001附錄A中所有控制措施的應(yīng)用指南C、該標準給出了ISMS的實施指南D、該標準的名稱是《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》38、ISMS管理評審的輸出應(yīng)考慮變更對安全規(guī)程和控制措施的影響，但不包括（）A、業(yè)務(wù)要求變更B、合同義務(wù)變更C、安全要求的變更D、以上都不對39、信息分級的目的是（）A、確保信息按照其對組織的重要程度受到適當級別的保護B、確保信息按照其級別得到適當?shù)谋ＷoC、確保信息得到保護D、確保信息按照其級別得到處理40、根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實行（）A、國家經(jīng)營B、地方經(jīng)營C、許可制度D、備案制度二、多項選擇題41、信息安全管理中，以下屬于"按需知悉(need-to-know)原則的是（)A、根據(jù)工作需要僅獲得最小的知悉權(quán)限B、工作人員僅讓滿足工作所需要的信息C、工作人員在滿足工作任務(wù)所需要的信息，僅在必要時才可擴大范圍D、得到管理者批準的信息是可訪問的信息42、以下（）活動是ISMS建立階段應(yīng)完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓(xùn)43、GB/T28450審核方案管理的內(nèi)容包括（）A、信息安全風險管理要求B、ISMS的復(fù)雜度C、是否存在相似場所D、ISMS的規(guī)模44、關(guān)于審核委托方，以下說法正確的是：（）A、認證審核的委托方即受審核方B、受審核方是第一方審核的委托方C、受審核方的行政上級作為委托方時是第二方審核D、組織對其外包服務(wù)提供方的審核是第二方審核45、組織建立的信息安全目標，應(yīng)（）A、是可測量的B、與信息安方針一致C、得到溝通D、適當時更新46、下列哪項屬于《認證機構(gòu)管理辦法》中規(guī)定的設(shè)立認證機構(gòu)應(yīng)具備的條件？（）A、具有固定的辦公場所和必備設(shè)施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應(yīng)領(lǐng)域的專職認證人員D、具有符合認證認可要求的管理制度47、關(guān)于“信息安全連續(xù)性”，以下正確的做法包括:（）A、人員、設(shè)備、設(shè)施、場所等的冗余配置B、定期或?qū)崟r進行數(shù)據(jù)備份C、考慮業(yè)務(wù)關(guān)鍵性確定恢復(fù)優(yōu)先順序和目標D、有保障信息安全連續(xù)性水平的過程和程序文件48、下列屬于“開發(fā)安全”活動的是（）。A、應(yīng)規(guī)范用戶修改軟件包，必須的修改應(yīng)嚴格管制B、應(yīng)用系統(tǒng)若有變更，應(yīng)進行適當審核與測試C、軟件應(yīng)盡量采用自行開發(fā)避免外包或采購D、軟件的采購應(yīng)注意其是否內(nèi)藏隱密通道及特洛伊木馬程序49、為控制文件化信息，適用時，組織應(yīng)強調(diào)以下哪些活動？（）A、分發(fā)，訪問，檢索和使用B、存儲和保護，包括保持可讀性C、控制變更（例如版本控制）D、保留和處理50、《中華人民共和國網(wǎng)絡(luò)安全法》的宗旨是（）A、維護網(wǎng)絡(luò)空間主權(quán)B、維護國家安全C、維護社會公共利益D、保護公民、法人和其他組織的合法權(quán)益51、風險評估過程一般應(yīng)包括（）A、風險識別B、風險分析C、風險評價D、風險處置52、管理評審的輸入應(yīng)包括（）。A、相關(guān)方的反饋B、不符合和糾正措施C、信息安全目標完成情況D、業(yè)務(wù)連續(xù)性演練結(jié)果53、操作系統(tǒng)的基本功能有(）A、存儲管理B、文件管理C、設(shè)備管理D、處理器管理54、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中對（）類的互聯(lián)網(wǎng)信息服務(wù)實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類55、認證機構(gòu)應(yīng)有驗證審核組成員背景經(jīng)驗，特定培訓(xùn)或情況的準則，以確保審核組至少具備(）A、管理體系的知識B、ISMS監(jiān)視、測量、分析和評價的知識C、與受審核活動相關(guān)的技術(shù)知識D、信息安全的知識三、判斷題56、組織的業(yè)務(wù)連續(xù)性策略即其信息安全連續(xù)性策略。57、最高管理層應(yīng)建立信息安全方針、該方針應(yīng)包括對持續(xù)改進信息安全管理體系的承諾。58、最高管理層應(yīng)確保與信息安全相關(guān)角色的職責和權(quán)限得到分配和溝通。59、組織ISMS的相關(guān)方的需求和期望由組織戰(zhàn)略決策層的決定（）60、審核組可以由一個人組成。（）61、對不同類型的風險可以采用不同的風險接受準則，例如，導(dǎo)致對法律法規(guī)不符合的風險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風險。（）62、拒絕服務(wù)器攻擊包括消耗目標服務(wù)器的可用資源或消耗網(wǎng)絡(luò)的有效帶寬63、考慮了組織所實施的活動,即可確定組織信息安全管理體系范圍。（）64、實習審核員可以獨立完成審核任務(wù)。（）65、記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。（）

參考答案一、單項選擇題1、C2、A3、A4、D5、A6、C7、D8、C9、B解析:2700214,2,3運行平臺變更后對應(yīng)用的技術(shù)評審，當運行平臺發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進行評審和測試，以確保對組織的運行和安全沒有負面影響。故選B10、D11、C12、C解析:信息安全事件，指一個或一系列意外或不期望的信息安全事態(tài)組成，他們極有可能損害業(yè)務(wù)運行并威脅信息安全。故選C13、B解析:so9000-20153,4,1過程，利用輸入產(chǎn)生輸出的相互關(guān)聯(lián)或相互作用的一組活動。故選B14、A15、B16、A17、A18、C19、B20、A21、A解析:訪問控制，確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進行授權(quán)和限制的手段。A表述更為全面，B,C選項過于細化，故選A22、D23、A24、C25、A解析:質(zhì)量管理顧客滿意組織處理投訴指南1范圍，投訴處理過程為投訴者提供一個開放，有效，方便的投訴程序，故選A26、D27、A28、D29、C30、D31、A32、D33、C34、C35、A36、A解析:《中華人民共和國網(wǎng)絡(luò)安全法》第36條，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責任。故選A37、D38、D解析:270019,3管理評審，管理評審的輸出應(yīng)包括與持續(xù)改進機會相關(guān)的決定以及變更信息安全管理體系的任何需求